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Aktivierbares Dokument und System fur aktivierbare Dokumente 

Die Erfindung bezieht sich auf ein aktivierbares Dokument gemass dem Oberbegriff des Anspruchs 1 
und auf ein System fur aktivierbare Dokumente gemass dem Oberbegriff des Anspruchs 9. 

Solche aktivierbare Dokumente sind fur person! iche Ausweise verwendbar, wie z.B. Bankschecks, 
5 Passe, Identitatskarten, Abonnements, Billette, Gesundheitskarten, Kreditkarten, IC-Karten, 

elektronische Geldborsen (smart cards), Wertdokumente usw. Ein solches System, das aktivierbare 
Dokumente verwendet, sind vor allem bei Echtheitskontrollen und/oder Inhaber - Kontrollen der 
Dokumente verwendbar. 

Zur Sicherung der genannten Dokumente werden visuell leicht erkennbare Hologramme und andere 
10 Beugungsstrukturen eingesetzt, wobei sie meist in Form von Etiketten aus einem die beugungsoptisch 
wirksamen Strukturen schutzenden Kunststofflaminat mit dem Substrat des Dokuments unlosbar 
verbunden sind (EP 0 330 738 A 1). An und fur weisen solche Dokumente einen sehr hohen 
Sicherheitsstandard gegen Falschungen oder Verfalschungen auf 

Aus der EP 0 713 197 A 1 ist ein Datentrager in Kartenform mit einer in den Kartenkorper integrierten 
1 5 elektronischen Schaltung und einer optischen Markierung bekannt, wobei der lnhalt der elektronischen 
Schaltung mit der Information der optischen Markierung verknupft ist. Als optische Markierungen 
konnen beispielsweise mit Farbe aufgebrachte Zeichen, wie ein Barcode oder Schriftzeichen, oder 
beugungsoptisch wirksame Strukturen, wie sie in der CH - PS 653 161 A5, in der EP 0 366 858 Al, in 
der EP 0 71 8 795 Al, in der EP 0 883 '085 Al usw. verwendet werden. In den genannten Schriften sind 
20 auch Ausfuhrungen von Lese- und Schreibgeraten fur die optischen Markierungen beschrieben. 

Schliesslich beschreibt die US - PS 3 833 795 die Sicherung der Echtheit von seriell numerierten 
Dokumenten (Banknoten, Wertpapiere). Eine solches Dokument tragt zwei Nummernfelder, das eine ist 
fur eine fortlaufende Nummerierung der Dokumente, der Identitatsnummer, vorgesehen, das andere ist 
eine bei der Ausgabe zufallig gewahlte Kontrollnummer, die in eine zentral gefiihrte Liste eingetragen 
25 wird. Ein ausgegebenes Dokument wird anhand der externen Liste oder mittels eines Listen - 
Algorithmus uberpruft, wobei eine Leseeinrichtung zunachst die Identitatsnummer und die 
Kontrollnummer abliest und anschliessend die Kontrollnummer der Identitatsnummer auf dem 
Dokument mit der von der Leseeinrichtung mittels der externen Liste oder des Listen - Algorithmus 
gefundenen Kontrollnummer vergleicht. Dieses Dokument ist jedoch nicht gegen Kopieren geschiitzt. 

30 Ein grosses Problem stellt jedoch die Sicherheit der Dokumente im Zeitraum von der Herstellung bis 
zur Ubergabe des Dokuments an die berechtigte Person dar, da in diesem Zeitraum die Dokumente auf 
dem Transport gestohlen werden konnen, um mit diesen Dokumenten unberechtigte Personen 
auszuriisten. 
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Der Erfindung liegt die Aufgabe zugrunde, ein in grossen Mengen kostengiinstig hergestelltes, gegen 
Kopieren geschiitztes Dokument derart zu sichern, dass seine Echtheitsmerkmale erst beim 
Inverkehrbringen vervoil stand igt werden und die Echtheitsmerkmale einfach und kostengiinstig 
maschinell zu uberpriifen sind. 

Die genannte Aufgabe wird erflndungsgemass durch die im Kennzeichen der Anspruche ] und 9 
angegebenen Merkmale gelost. Vorteilhafte Ausgestaitungen der Erfindung ergeben sich aus den 
abhangigen Anspriichen. 

Ausfuhrungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden im folgenden naher 
beschrieben. 

Es zeigen: Figur 1 ein Dokument, 

Figur 2 ein aktiviertes Dokument, 

Figur 3 eine IC - Karte als Dokument, 

Figur 4 einen Informationsstreifen, 

Figur 5 ein System, 

Figur 6 ein Validiergerat und 

Figur 7 einen Verifikator. 

In der Figur 1 bedeutet 1 ein Dokument, 2 Dokumentennummer, 3 eine optische Markierung, 4 ein 
Speicherfeld, 5 ein Kontrollfeld und 6 ein Substrat. Das Dokument 1 besitzt ein Substrat 6 aus Papier, 
Kunststoffvlies, Kunststoffolie, einem Schichtverbund aus Kunststoff, Lacken und/oder Papier usw. Die 
beiden Oberflachen des Substrats 6 konnen bedruckt sein, wie dies bei Bankschecks, Passen, 
Identitatskarten, Abonnements, Billetts, Gesundheitskarten, Kreditkarten, IC-Karten, elektronische 
Geldborsen (smart cards), Wertdokumente, Banknoten usw. iiblich ist, und weisen wenigstens auf einer 
Seite die wenigstens maschinell lesbare Dokumentennummer 2 auf. Die Dokumentennummer 2 kann in 
Klarschrift und/oder als Strichkode in bekannter Art mit normaler, fluoreszierender oder magnetischer 
Tinte auf das Substrat 6 aufgebracht sein. Fur die optische Markierung 3 sind beispielsweise mit 
normaler, fluoreszierender oder magnetischer Farbe aufgebrachte oder mittels Perforieren des 
Substrats 6 erzeugte Zeichen, wie ein Barcode, Schriftzeichen usw., oder beugungsoptisch wirksame 
Strukturen verwendbar. Die optische Markierung 3 enthalt eine digitale Information, eine Kennung 7. 
Von besonderem Vorteil ist die Verwendung der optischen Markierung 3 mit beugungsoptisch 
wirksamen Strukturen wegen ihrer hohen Sicherheit gegen Falschung und Kopieren. Sie sind aus den 
eingangs genannten Schriften CH 653 161 A5, EP 0 366 858 Al, EP 0 718 795 Al usw. bekannt und 
eignen sich besonders zum maschinellen Abiesen einer in der beugungsoptischen Markierung 3 
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enthaltenen Kennung 7. Die Kennung 7 beinhaltet Informationen uber die Art des Dokuments, die 
Dokumentserie usw. nicht aber iiber die Dokumentennummer 2, die das Dokument 1 innerhalb einer 
Serie identifiziert, d.h. die Dokumente 1 einer Serie sind kostengunstig herstellbar und unterscheiden 
sich nur durch die beispielsweise aufgedruckten Dokumentennummern 2. Die Grosse der optischen 
5 Markierung 3 ist durch die darin enthaltene Kennung 7 bestimmt und die benotigte Flache umfasst 
typisch ungefahr 1 mm 2 . Extremwerte fur diese Flache diirften bei 0,1 mm 2 eine untere und bei 1 cm 2 
eine obere Grenze erreichen. Die optische Markierung 3 kann auch visuell unsichtbar in einer 
transparenten Folie gemass CH 653 161 A5 eingebracht sein oder auch unauffallig innerhalb eines 
Hologramms oder eines beugungsoptischen Musters, einem Sicherheitsmerkmal 8, beispielsweise 
10 gemass CH 659 433 A5 S verborgen sein. Das Sicherheitsmerkmal 8 dient der Identifizierung des 
Dokuments 1 fur den Mann auf der Strasse und wirkt auf dem Dokument 1 sehr auffallig. 

Das Speicherfeld 4 und das Kontrollfeld 5 bleiben zur Auslieferung an die Inverkehrbringer 
(Verkaufsstellen, Ausgabestellen, Bankschalter usw.) leer. Ohne eine in der Figur 2 gezeigte 
Kontrollnummer 9 im Speicherfeld 4 ist das Dokument 1 unbrauchbar. Beim Inverkehrbringen mussen 

15 die Dokumente 1 durch eine Aktivierung ihre Gultigkeit erlangen. Beispielsweise werden die 

Dokumentennummer 2 und die Kennung 7 maschinell aus dem Dokument 1 abgelesen. Wenigstens 
diese Informationen werden mit einem ausserhalb des Dokuments vorhandenen ersten geheimen 
Schliissel 10 in einer kryptographischen Operation miteinander verknupft und aus dem Resultat die dem 
Dokument 1 zugehorige Kontrollnummer 9 erzeugt und in das Speicherfeld 4 eingeschrieben. Das 

20 Dokument 1 ist erst jetzt vollstandig und seine Gultigkeit ist anhand der Dokumentennummer 2, der 
Kennung 7 und der Kontrollnummer 9 iiberprufbar. Bei bestimmten Dokumentarten ist wahrend der 
Aktivierung auch die Beschriftung des Kontrollfelds 5 vorgesehen. Der Inhalt des Kontrollfelds 5 
umfasst wenigstens visuell lesbare, individuelle, auf eine Person, Veranstaltung, Firma, usw. bezogene 
Informationen, wie Name, Anschrift, Sozial- oder andere Versicherungsnummer, Staatszugehorigkeit, 

25 Zeitangaben, Geldbetrag usw. Diese Informationen, im folgenden Kode 1 1 genannt, konnen auch 

zusammen mit der Dokumentennummer 2, der Kennung 7 mit der kryptographischen Operation zur 
Kontrollnummer 9 verarbeitet werden. 

In einer Ausfuhrung des Dokuments 1 ist nach einem der bekannten Verfahren das Speicherfeld 4 
und/oder das Kontrollfeld 5 mit der Kontrollnummer 9 bzw., dem Kode 1 1 in maschinenlesbarer 
30 Druckschrift beschriftet. Diese Klarschrift, z.B. OCR - Schrift, ist sowohl visuell ais auch maschinell 
lesbar. Anstelle oder zusammen mit der Druckschrift kann die Kontrollnummer 9 auch als Strichkode, 
der im Detailhandel weit verbreitet ist, dargestellt sein. 

In der Figur 3 ist eine weitere Ausfuhrung des Dokuments 1 in Form einer Karte (Gesundheitskarte, 
Kreditkarte, IC-Karte, Smartcards, usw) gezeigt. In das Substrat 6 ist ein an sich bekanntes Modul 12 
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mit einem der Mikrochip 13 eingelassen, in dessen Speicher 14 das Speicherfeld 4 eingerichtet ist. Das 
Speicherfeld 4 kann nur einmal mit der Kontrollnummer 9 beim Aktivieren des Dokuments 1 mittels 
einer iiber ein Kontaktfeld 15 gesandte elektronischen Signalfolge beschrieben werden, eine spatere 
Veranderung ist nicht mehr moglich. Wie in der eingangs erwahnten EP 0 713 197 A 1 kann die 
Signalfolge auch mittels hier nicht gezeigten induktiven oder optischen Mitteln an ein entsprechend 
gestaltetes Modul 12 des Dokuments 1 ubertragen werden. 

Eine andere Ausfuhrung des Dokuments 1 in Kartenform weist auf dem Substrat 7 einen 
Magnetstreifen 16 auf. Die Kontrollnummer 9 (Figur 2) und der Kode 1 1 (Figur 2) wird beim 
Aktivieren des Dokuments 1 magnetisch kodiert in das Speicherfeld 4 bzw. in das Kodierfeld 5 auf dem 
Magnetstreifen 16 eingezeichnet. Das Speicherfeld 4 weist nach der Aktivierung im Speicherfeld 4 
wenigstens die magnetisch lesbare Kontrollnummer 9 auf. 

Eine weitere Ausfuhrung des Dokuments 1 weist im Speicherfeld 4 einen mit dem Substrat 6 wahrend 
des Herstellungsprozesses des Dokuments 1 aufgebrachten, in der Figur 4 dargestellten 
beugungsoptischen Informationstrager 17 auf, wie er in der eingangs genannten Schrift EP 0 718 795 
Al beschrieben ist. Der Informationstrager 17 weist im unbeschriebenen Zustand 17' wenigstens eine 
Reihe von in Paaren 19 angeordneten Beugungsfeldern 18, wobei sich die beiden mikroskopischen 
Beugungsstrukturen eines Paares 19 in wenigstens einem Gitterparameter unterscheiden. Wahrend des 
Aktivierens wird die Kontrollnummer 9 als digitale Folge auf dem Informationstrager 17 abgebildet, 
wobei beim Beschreiben entsprechend dem Bitwert in jedem Paar eines der beiden Beugungsfelder 18 
die Beugungsstruktur durch Zufuhren von Warmeenergie zerstort oder die Beugungsstruktur durch 
Abdecken, z.B. mit einem nicht transparenten Decklack, unwirksam gemacht wird. Im 
Informationstrager 17" ist nach der Aktivierung bei jedem Paar eine der beiden Beugungsstrukturen 
nicht mehr beugungsoptisch wirksam. Das Speicherfeld 4 weist nun die Kontrollnummer 9 in optisch 
maschinell leicht lesbaren Zeichen auf. Der Vorteil dieses Informationstragers 17 ist, dass er nur einmal 
beschrieben werden kann. Jede weitere Veranderung des Informationstragers 17 ist maschinell leicht zu 
erkennen. 

In einer Ausfuhrung des Dokuments 1 ist die optische Markierung 3 und die Kontrollnummer 9 mit 
Beugungsstrukturen ausgefuhrt und auf dem gleichen Informationstrager 17 untergebracht. Der Vorteil 
dieser Ausfuhrung ist, dass mit einem einzigen optischen Leser 26 gemass der EP 0 718 795 Al das 
Auslesen der Kennung 7 und der Kontrollnummer 9 sowie das Beschriften des Informationstragers 17 
durchgefuhrt wird. Das teuere Sicherheitsmerkma! 8 (Figur 1) kann weggelassen werden. 

Die Beschriftungen 2,9, 11, das Modul 12 und der Magnetstreifen 16 konnen an sich beliebig auf den 
beiden Seiten des Dokuments 1 verteilt sein, wobei iiblicherweise nur der Magnetstreifen 16 auf der 
Ruckseite des Substrats 6 angeordnet ist. 
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Die Figur 5 zeigt ein System 20, das sich fiir die Venvendung der vorstehend beschriebenen 
Dokumente 1 eignet. Das System 20 umfasst wenigstens ein Dokument 1, ein Validiergerat 2 1 fur die 
Aktivierung des Dokuments 1 und einen Veriflkator 22, mit dem eine Echtheitskontrolle des 
Dokuments 1 durchzufuhren ist. Wahrend die Validiergerate 21 bei den wenigen Inverkehrbringern 
5 aufgestellt sind, muss eine Vielzahl von einfach zu bedienenden, moglichst autonomen Verifikatoren 22 
dort im Einsatz sein, wo auch immer solche Dokumente 1 einer Echtheitskontrolle unterzogen werden. 

Die vom Hersteller angelieferten Dokumente 1 mit der Dokumentennummer 2 werden bei den 
Inverkehrbringern gelagert bis eines der Dokumente 1 einer berechtigten Person zugeteilt wird, wobei 
mittels des Validiergerates 21 das dieser Person zugeteilte Dokument 1 durch Einschreiben der 
10 Kontrollnummer 9 in das Speicherfeld 4 zu einem Echtheitszertifikat 23 vervollstandigt wird. 

Eine Ausfuhrung des Validiergerats 21 gemass Figur 6 umfasst eine Recheneinheit 24, eine 
Transportvorrichtung 25 fur das Dokument 1, einen optischen Leser 26 zum maschinellen Auslesen der 
Kennung 7 (Figur 1) auf der optischen Markierung 3 des nicht aktivierten Dokuments 1 sowie ein 
Aufzeichnungsmittel 27. Weitere in der Zeichnung der Figur 6 gestrichelt eingezeichnete, fakultative 

15 Leseeinheiten 29 ermoglichen ein Ablesen der Dokumentennummer 2 (Figur 1), der Kontrollnummer 9 
(Figur 2) und des Kodes 1 1 (Figur 2). Die Leseeinheiten 29 unterscheiden sich entsprechend der fur das 
System 20 einmal gewahlten Aufzeichnungstechniken, die fur die Dokumentennummer 2, fur die 
Kontrollnummer 9 und fur den Kode 1 1 vorbestimmt sind. Die Transportvorrichtung 25, der optische 
Leser 26, das oder die Aufzeichnungsmittel 27 und die Leseeinheiten 29 sind mit der Recheneinheit 24 

20 verbunden. 

Die Recheneinheit 24 ist uber Leitungen mit der Transportvorrichtung 25, dem optischen Leser 26, und 
mit dem Aufzeichnungsmittel 27 verbunden, steuert diese Gerate 25, 26, 27 und empfangt die von 
diesen Geraten 25, 26, 27 ausgesandte Informationen, damit das Dokument 1 maschinell abgelesen und 
beschriftet werden kann. Die Recheneinheit 24 weist wenigstens ein Sicherheitsmodul 30 auf, das in 
25 einer integrierte Schaltung einen Mikroprozessor mit zugehorigen Speicherplatzen umfasst. Der 

Mikroprozessor fuhrt kryptographische Operationen aus und benutzt dazu den in den Speicherplatzen 
enthaltenen ersten geheimen Schliissel 10. 

Die Transportvorrichtung 25 bewirkt in einer Ausfuhrung eine Relativbewegung zwischen dem 
Dokument 1 einerseits und den Lesemitteln 26, 29 und dem Aufzeichnungsmittel 27 andererseits. In der 
30 Figur 6 wird das Dokument 1 gegenuber den feststehenden Lesemitteln 26, 29 und dem 

Aufzeichnungsmittel 27 bewegt. Fur die Transportvorrichtung 25 sind unterschiedliche, an sich 
bekannte Ausfuhrungen fur Blatter oder fur Karten bekannt und einsetzbar. Auf eine aufwendige 
Transportvorrichtung 25 kann verzichtet werden, wenn die optische Markierung 3 bzw. das 
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Sicherheitselement 8 (Figur 1) gemass der Lehre in der EP 0 883 '085 Al gestaltet ist und das 
Beschriften des Speicherfelds 4 manuell erfolgt. 

Das Aufzeichnungsmittel 27 ist zum Einschreiben der Kontrollnummer 9 und des Kodes 1 1 in das 
Speicherfeld 4 bzw. Kodierfeld 5 eingerichtet und benutzt die fur das Dokument 1 vorgesehene 
5 Aufzeichnungstechnik, beispielsweise ein Druck-, Tintenstrahl-, Xerographie-, Perforations- usw. 

Verfahren, ein in der EP 0 718 795 Al beschriebenes Schreibverfahren fur die Informationstrager 17, 
eine magnetische Aufzeichnung oder die elektronische Speicherung im Speicher 14 (Figur 3). Die 
Kontrollnummer 9 kann auch manuell in das Speicherfeld 4 mit dokumentechter Tinte eingeschrieben 
werden. Das Perforationsverfahren fur Dokumente 1 ist z.B. im DE Gebrauchsmuster G 93 15 294.9 
10 beschrieben. 

Die Tastatur 28 ist ganz allgemein eine Eingabevorrichtung fur aus Ziffern oder alphanumerische 
Zeichen bestehende Informationen. Die Eingabevorrichtung kann auch uber einen Anschluss 28' an ein 
Telephon- oder Computernetzwerk 37 (Figur 5) mit dem Validiergerat 21 verbunden sein, insbesondere 
konnen die den Kode 1 1 bildenden Informationen von einer Zentralstelle abgerufen werden. 

15 Die Leseeinheit 29 ist der fur das Dokument 1 verwendeten Aufzeichnungstechnik angepasst. Die 

Leseeinheit 29 ist z.B. ein Klarschriftleser, ein Barkodeleser usw. fur visuell lesbare Zeichen, aus denen 
sich die Dokumentennummer 2, die Kontrollnummer 9 und den Kode 1 1 zusammensetzen. Diese 
Leseeinheiten 29 tasten mit einem Lichtstrahl Teile oder das ganze Dokument 1 ab und messen die 
lntensitat des vom Dokument 1 zuruckgestreuten Lichts. Die fur die magnetisch aufgezeichnete 

20 Informationen bzw. zum elektronischen Auslesen aus dem Speicher 14 geeignete Leseeinheit 29 ist 
allgemein bekannt. 

Der Aufbau und Arbeitsweise des optischen Lesers 26 und fur eine Leseeinheit 29, die zum Auslesen 
der Kontrollnummer 9 aus dem optischen Informationstrager 17 (Figur 4) befahigt ist, sind 
beispielsweise aus den eingangs genannten Schriften CH - PS 653 161 A5, EP 0 366 858 Al, 
25 EP 0 7 1 8 795 A 1 , EP 0 883 '085 A 1 bekannt. 

In einer kostengiinstigen Ausfuhrung zur Aktivierung liest ein Bediensteter eines nicht aktivierten 
Dokuments 1 dessen Dokumentennummer 2 visuell ab und gibt die Dokumentennummer 2 (Figur 2) 
uber eine Tastatur 28 manuell in die Recheneinheit 24 ein. Anschliessend wird das Dokument 1 in die 
auf einen Kanal oder eine Plattform reduzierte Transportvorrichtung 25 unter den optischen Leser 26 
30 gesteckt bzw. gelegt, damit der optische Leser 26 die Kennung 7 ablesen und der Recheneinheit 24 

ubermitteln kann. Die Recheneinheit 24 verschlusselt die Kennung 7 und die Dokumentennummer 2 mit 
dem ersten geheimen Schliissels 10 und bildet eine digitale Signatur, die Kontrollnummer 9, auf einer 
Anzeige 31 ab. Der Bedienstete ubertragt nun manuell die Kontrollnummer 9 in das Speicherfeld 4 auf 
dem Dokument 1, das nun derart aktiviert zum Echtheitszertifikat 23 (Figur 5) geworden ist. Das 
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Speicherfeld 4 kann in Felder fur je ein Zeichen der Kontrollnummer 9 eingeteilt sein, um ein 
maschinelles Lesen der handschriftlich eingetragenen Kontrollnummer 9 zu erleichtern. 

Eine zweite Ausfuhrung weist eine in der Zeichnung der Figur 6 punktiert gezeichnete Lesereinheit 29 
auf, die die Dokumentennummer 2 maschinell direkt vom Dokument 1 abliest und an die 
5 Recheneinheit 24 abgibt. Die Recheneinheit 24 verschlusselt wenigstens die Kennung 7 und die 

Dokumentennummer 2 mit dem ersten geheimen Schliissels 10 zur Kontrollnummer 9. Anschliessend 
ubertragt das Aufzeichnungsmittel 27 die Kontrollnummer 9 in den Speicherfeld 4 in der vom 
System 20 vorbestimmten Technik. 

Das Validiergerat 2 1 ist in einer dritten Ausfuhrung zusatzlich mit der Tastatur 28 und der Anzeige 3 1 
1 0 ausgestattet, um iiber die Tastatur 28 den Kode 1 1 einzugeben, wobei die Anzeige 3 1 zur Kontrolle des 
Kodes 1 1 dient. Der Kode 1 1 wird ebenfalls mit dem Aufzeichnungsmittel 27 auf das Dokument 1 
ubertragen. Fur besonders wichtige Dokumente 1 ist das Validiergerat 21 dazu eingerichtet, die Eingabe 
einer personlichen Identifikationsnummer (PIN) vom Benutzer zu verlangen. Diese PIN identifiziert in 
einem Fall als Zulassungs - PIN den Bediensteten, der das Validiergerat 21 bedient, und in einem 
1 5 zweiten Fall als Inhaber - PIN den Dokumentinhaber, wobei bei der Aktivierung des Dokuments 1 der 
Inhaber seine PIN iiber die Tastatur 28 eintippt und im Rechengerat 24 die Inhaber - PIN zusammen mit 
dem Kode 1 1 oder allein als Parameter fur die Erzeugung der Kontrollnummer 9 dient. 

In einer vierten Ausfuhrung des Validiergerats 21 ist anstelle des optischen Lesers 26 und der 
Leseeinheit 29 ein einziger Leser 26 so eingerichtet, dass er sowohl die optische Markierung 3 und die 
20 Dokumentennummer 9 erkennen kann. 

In einer funften Ausfuhrung ist das Validiergerat 21 auch zum Erkennen der Kontrollnummer 9 
eingerichtet. Somit ist das Validiergerat 21 fahig, aktivierte und nicht aktivierte Dokumente 1 zu 
unterscheiden und zusatzlich die Kontrollnummer 9 auf ihre Richtigkeit zu uberpriifen. 

Die Kontrollnummer 9 ist das Ergebnis der kryptographischen Operation in der Recheneinheit 24, einer 
25 mathematischen Funktion f: 

Kontrollnummer 9 = f(Dokumentennummer 2, Kennung 7, erster geheimer Schlussel 10) bzw. 

Kontrollnummer 9 = f(Dokumentennummer 2, Kennung 7, Kode 1 1, erster geheimer Schlussel 10). 

Da sich die Systeme 20 nicht nur in der Aufzeichnungstechnik sondern auch in der Anzahl und Art der 
Parameter der kryptographischen Operation unterscheiden, werden, zwecks einfacherer Beschreibung, 
30 nachfolgend die fur die Erzeugung der Kontrollnummer 9 auf dem Dokument 1 vorhandenen Werte, 
wie Dokumentennummer 2, Kennung 7, Kode 1 1 und die getrennt vom Dokument 1 gespeicherte 
Inhaber - PIN, als Parameter der kryptographischen Operation bezeichnet, wobei darunter wenigstens 
die Dokumentennummer 2 und die Kennung 7 zu verstehen sind, allenfalls erganzt um den Kode 1 1 
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und/oder die Lnhaber - PIN. Ein System 20 ist somit durch die verwendeten Aufzeichnungstechniken, 
die Ausfuhrung des Dokuments 1, die Parameter der kryptographischen Operation und dem ersten 
geheimen Schlussel 10 bestimmt. 

Weder der erste geheime Schlussel 10 noch der Algorithmic sind der Offentlichkeit bekannt und 
5 werden von einer "certification authority" in einem Sicherheitmodul 30 zum Einsetzen in die 

Recheneinheit 23 abgegeben. Nachdem die Recheneinheit 24 die Parameter der Funktion fin das 
Sicherheitsmodul 30 eingegeben sind, erzeugt das leicht auswechselbare Sicherheitsmodul 30 direkt die 
Kontrollnummer 9 oder ein Zwischenresultat, das fur die Berechnung der Kontrollnummer 9 in der 
Recheneinheit 24 dient. 

10 Der erste geheime Schlussel 10 dient sowohl fur die kryptographischen Operation zum Erzeugen der 

Kontrollnummer 9 als auch fur die Uberpriifung der Richtigkeit der Kontrollnummer 9 in Kenntnis der 
auf dem Dokument 1 vorhandenen Informationen. 

Der Verifikator 22 in der Figur 7 weist bis auf das Aufzeichnungsmittel 27 (Figur 6) gleiche 
Komponenten wie das Validiergerat 21 (Figur 6) auf. Die Ausfuhrungen des Verifikator 22 

15 unterscheiden sich in den Leseeinheiten 29, die sich entsprechend der fur das System 20 (Figur 5) 
gewahlten Aufzeichnungstechnik unterscheiden. Der Verifikator 22 umfasst in der kostengunstigen 
Ausfuhrung wenigstens ein Aufhahmemittel 32 fur ein zu uberprufendes Echtheitzertifikat 23 (Figur 5), 
ein Rechengerat 33 mit dem Sicherheitsmodul 30, den optischen Leser 26 fur die Kennung 7, die 
Tastatur 28 und die Anzeige 3 1 . Das Rechengerat 33 ist mit dem optischen Leser 26, der Tastatur 28 

20 und der Anzeige 3 1 verbunden. Das Rechengerat 33 uberpruft mit einer anderen kryptographischen 

Operation, ob die Kontrollnummer 9 (Figur 2) zu den Parametern der kryptographischen Operation, die 
wenigstens die Dokumentnummer 2 und die Kennung 7 umfassen, passt. Dazu verwendet das 
Rechengerat 33 einen zweiten Schlussel 34, der im Sicherheitsmodul 30 mit dem entsprechenden 
Algorithmus enthalten ist. Das Rechengerat 33 kann mit der anderen kryptographischen Operation keine 

25 Verschliisselungen wie die Recheneinheit 24 (Figur 6) im Validiergerat 21 vornehmen. Die 

Verwendung des zweiten Schlussels 34, der vom ersten Schlussel 10 vollig verschieden ist, weist den 
Vorteil auf, dass die sich aus der Verwendung ergebenden weiten Verbreitung der Verifikatoren 22 
ergebenden Schwierigkeit der Geheimhaltung des zweiten Schlussels 34 fur die Sicherheit des Systems 
20 irrelevant ist. Das Rechengerat 32 stellt das Ergebnis der Echtheitskontrolle auf der Anzeige 31 dar. 

30 Fur eine Echtheitskontrolle liest ein Kontrolleur visuell die Parameter der kryptographischen Operation, 
wenigstens die Dokumentnummer 2 und die Kennung 7, auf dem Echtheitszertifikat 23 und die 
Kontrollnummer 9 im Speicherfeld 4 ab und fuhrt dem Rechengerat 33 die abgelesenen Zeichenfolgen 
liber die Tastatur 28 zu. Das Aufhahmemittel 32 kann auch eine einfache Plattform unter dem optischen 
Leser 26 sein, auf die der Kontrolleur das Dokument 1 so auflegt, dass die optische Markierung 3 im 
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Bereich des optischen Lesers 26 ist. Die maschinell gelesene Kennung 7 gelangt direkt in das 
Rechengerat 33. Das Ergebnis der Echtheitskontrolle erscheint auf der Anzeige 31. Im einfachsten Fall 
besteht die Anzeige 3 1 aus zwei Signailampen um das Ja/Nein - Ergebnis der Echtheitskontrolle 
darzustellen. Jedoch ist es von Vorteil, wenn die Anzeige 31 sowohl die uber die Tastatur 28 
5 eingegebenen Parameter und Kontrollzahl 9 sowie das Ja/Nein - Ergebnis anzeigt. 

Der Verifikator 22 gibt in einer anderen Ausfuhrung ein Erlaubnissignal uber eine Signalleitung 35 an 
eine Dienstleisrungseinrichtung 36 ab. Das Eintreffen des Erlaubnissignals gibt die Dienstleistung der 
Dienstleistungseinrichtung 36 frei, z.B. Turoffnung, Geldausgabe, Warenbezug, Registrierung usw. 

Eine andere Ausfuhrung des Verifikators 22 weist als Aufhahmemittel 32 ein Transportsystem fur blatt- 
10 oder kartenformige Dokumente 1 auf. Mit dem Rechengerat 33 ist das vom Rechengerat 33 gesteuerte 
Aufnahmemittel 32 und zusatzlich zum optischen Leser 26 wenigstens eine Leseeinheit 29 zum 
Ubermitteln von Informationen verbunden. Die Leseeinheit 29 liest einen oder mehrere Parameter der 
kryptographischen Operation maschinell aus. Eine Tastatur 28 ertibrigt sich fur diese Ausfuhrung. Eine 
Leseeinheit 29 ist dann ausreichend, wenn die Parameter der kryptographischen Operation und die 
1 5 Kontrollnummer 9 auf dem Echtheitszertifikat 23 in der gleichen Aufzeichnungstechnik ausgefiihrt 
sind. 

Fur ein System 20, bei dem der Inhaber - PIN verwendet wird, ist die Tastatur 28 fur den Inhaber 
vorgesehen, der sich mit der Inhaber - PIN gegeniiber dem Verifikator 22 identifiziert. Die uber die 
Tastatur eingegebene Inhaber - PIN wird in der kryptographischen Operation als Parameter zur 
20 Uberpriifung der Kontrollnummer 9 verwendet. 

Wie beim Validiergerat 21 ist auch eine Identifizierung des Kontrolleurs mittels seiner Benutzer - PIN 
von Vorteil, um die Hiirde fur potentielle Einbrecher in das System 20 moglichst hoch anzusetzen. Die 
Eingabe der richtigen Benutzer - PIN uber die Tastatur 28 ermoglicht dem Rechengerat 33 den Benutzer 
zu identifizieren und den Validator 22 zum Einsatz freizugeben. 

25 Zur Figur 5 ist noch zu bemerken, dass das System 20 mit Vorteil in ein bidirektionales Telephon- oder 
Computernetzwerk 37 zum Datenaustausch zwischen den Validiergeraten 21 und den Verifikatoren 22 
einerseits und einem Rechner 37 andererseits eingebettet ist. Das Validiergerat 21 ist uber den 
Anschluss 28' mit dem Netzwerk 37 und das Netzwerk 37 uber eine Leitung 38 mit dem zentralen 
Rechner 39 verbunden. Neben dem bereits erwahnten Abruf von Daten aus dem zentralen Rechner 39 

30 fur den Kode 1 1 (Figur 2) ermoglicht das Netzwerk 37 im zentralen Rechner 39 eine Negativliste 
Dokumentennummern 2 von widerrufenen Echtheitszertifikaten 23 anzulegen. Die uber das 
Netzwerk 37 mit dem zentralen Rechner 39 verbundenen Verifikatoren 22 erhalten fiber eine 
Datenleitung 40 die regelmassig nachgefuhrte Negativliste in das Rechengerat 33 (Figur 7) iibertragen. 
Die Negativliste ist in einem Datenspeicher 41 (Figur 7) des Rechengerats 33 abgelegt, damit auch beim 
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Ausfall des Netzwerkes 37 widerrufene Echtheitszertifikate 23 von den Verifikatoren 22 erkannt 
werden. 
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PATENTANSPRUCHE 

1. Dokument (1) mit einer wenigstens maschinell lesbaren Dokumentennummer (2) auf dem 
Substrat (6) und einem Speicherfeld (4) fur die Aufnahme einer Kontrollnummer (9) dadurch 
gekennzeichnet, dass auf dem Substrat (6) eine optische Markierung (3) mit einer maschinell lesbaren 
5 Kennung (7) angebracht ist, dass das Speicherfeld (4) zur Aufnahme der wenigstens maschinell 

lesbaren Kontrollnummer (9) eingerichtet ist und dass die Kontrollnummer (9), die das Ergebnis einer 
kryptographischen Operation mit wenigstens zwei Parametern, der Dokumentennummer (2) und der 
Kennung (7), und einem ersten geheimen Schliissel (10) ist, zur Vervollstandigung erst bei der 
Inverkehrbringung als Echtheitszertifikats (23) im Speicherfeld (4) eingesetzt ist. 

10 2. Dokument (1) nach Anspruch 1, dadurch gekennzeichnet, dass die optische Markierung (3) 

beugungsoptische Strukturen aufweist und dass wenigstens ein Teil der beugungsoptischen Strukturen 
die maschinell lesbare Kennung (7) enthalt. 

3. Dokument (1) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Substrat (6) ein 
Kontrollfeld (5) fur die Aufnahme eines wenigstens visuell lesbaren, individuellen und auf eine Person 

1 5 bezogenen Kodes (11) aufweist. 

4. Dokument nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass das Speicherfeld (4) auf dem 
Substrat (6) angeordnet ist und dass nach der Aktivierung die Kontrollnummer (9) im Speicherfeld (4) 
in wenigstens maschinell lesbaren Zeichen enthalten ist. 

5. Dokument (1) nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, dass im Substrat (6) ein 
20 Mikrochip (13) eingelassen ist, dass das Speicherfeld (4) im Speicher (14) des Mikrochips (13) 

angeordnet ist und dass nach der Aktivierung das Speicherfeld (4) die Kontrollnummer (9) enthalt und 
der einmal eingeschriebene Inhalt des Speicherfelds (4) elektronisch nicht veranderbar ist. 

6. Dokument (1) nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, dass auf dem Substrat (6) 
ein Magnetstreifen (16) mit dem Speicherfeld (4) angeordnet ist, dass der Magnetstreifen (16) 

25 wenigstens das Speicherfeld (4) enthalt und dass nach der Aktivierung das Speicherfeld (4) die 
magnetisch lesbare Kontrollnummer (9) aufweist. 

7. Dokument ( 1 ) nach Anspruch 1, 2, 3 oder 4, dadurch gekennzeichnet, dass auf dem Substrat (6) 
ein optischer Informationstrager (17, 1 7') angeordnet ist, dass der optische Informationstrager (17, 1 7') 
wenigstens das Speicherfeld (4) enthalt und dass nach der Aktivierung der nicht mehr veranderbare 

30 optische Informationstrager (1 7, 1 7") im Speicherfeld (4) die Kontrollnummer (9) in optisch lesbaren 
Zeichen aufweist. 

8. Dokument (1) nach einem der Anspriiche 1 bis 7, dadurch gekennzeichnet, dass ein Teil des 
optischen Informationstragers (17, 17') die optische Markierung (3) bildet und die Kennung (7) enthalt. 
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9. System (20) bestehend aus wenigstens einem Dokument (1) nach einem der Anspriiche 1 bis 8, 
einem Validiergerat (21) und einem Verifikator (22), dadurch gekennzeichnet, dass das Dokument (1) 
wenigstens eine maschinell lesbare Dokumentennummer (2), eine optische Markierung (3) mit einer 
maschinell lesbare Kennung (7) und ein wenigstens maschinell lesbares Speicherfeld (4) fur die 
Aufnahme einer Kontrollnummer (9) aufweist, 

dass im Validiergerat (21) eine Aufnahmevorrichtung (25) zur Aufhahme des Dokuments (1) und eine; 
optischen Leser (26) zum maschinellen Ablesen von wenigstens der Kennung (7) angeordnet sind, dass 
im Validiergerat (21) eine Recheneinheit (24) fur kiyptographische Operationen mit einem ersten 
geheimen Schlussel (10) zum Erzeugen der Kontrollnummer (9) durch Verschlusseln von wenigstens 
zwei Parametern, der Dokumentennummer (2) und der Kennung (7), vorhanden ist, dass ein 
Aufzeichnungsmittel (27) zum Einschreiben der Kontrollnummer (9) in das wenigstens maschinell 
lesbare Speicherfeld (4) eingerichtet ist, 

dass der Verifikator (22) wenigstens ein Rechengerat (33), einen optischen Leser (26) zum 
maschinellen Ablesen der Kennung (7) und ein Aufnahmemittel (32) zum Ausrichten eines 
Echtheitszertifikats (23) zum maschinellen Ablesen aufweist, dass der Verifikator (22) das wenigstens 
mit Eingabe- und Ablesemrtteln (26; 28; 29) verbundene Rechengerat (33) fur kiyptographische 
Operationen mit einem zweiten Schlussel (34) enthalt und dass das Rechengerat (33) zur Oberpriifting 
der Zusammengehorigkeit wenigstens der Kontrollnummer (9) und den zum Verschlusseln benutzten 
Parametern der kryptographischen Operation, die auf dem Echtheitszertifikat (23) enthalten sind, und 
zur Darstellung des Vergleichsergebnisses auf einer Anzeige (31) des Verifikators (22) und/oder zur 
Erzeugung eines Erlaubnissignals eingerichtet ist. 

1 0. System (20) nach Anspruch 9, dadurch gekennzeichnet, dass der Verifikator (22) eine 
Tastatur (28) fiir eine manuelle Eingabe einer personlichen Identifikationsnummer (PIN) zur Freigabe 
des Verifikators (22) aufweist und dass der Verifikator (22) zum Uberpriifen der personlichen 
Identifikationsnummer eingerichtet ist. 

1 1 . System (20) nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass der Verifikator (22) eine mit 
dem Rechengerat (33) verbundene Tastatur (28) fur eine manuelle Eingabe wenigstens der 
Dokumentennummer (2) und der Kontrollnummer (9) an das Rechengerat (33) aufweist. 

12. System (20) nach einem der Anspriiche 9 bis 11, dadurch gekennzeichnet, dass der 
Verifikator (22) wenigstens eine mit dem Rechengerat (33) verbundene Leseeinheit (29) fur eine 
maschinelle Eingabe der Dokumentennummer (2) und der Kontrollnummer (9) an das Rechengerat (33) 
aufweist. 
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13. System (20) nach Anspruch 9, dadurch gekennzeichnet, dass das Validiergerat (21) eine mit der 
Recheneinheit (24) verbundene Tastatur (28) fur eine manuelle Eingabe wenigstens der 
Dokumentennummer (2) an die Recheneinheit (24) aufweist. 

1 4. System (20) nach Anspruch 9 oder 13, dadurch gekennzeichnet, dass das Validiergerat (2 1 ) eine 
5 mit der Recheneinheit (24) verbundene Leseeinheit (29) fur eine maschinelle Eingabe der 

Dokumentennummer (2) an die Recheneinheit (24) aufweist. 

1 5. System (20) nach Anspruch 9, 1 3 oder 14, dadurch gekennzeichnet, dass das Validiergerat (21) 
fur die Eingabe eines individuellen, auf eine Person bezogenen Kodes (11) mittels der Tastatur (28) 
eingerichtet ist und, dass das Aufzeichnungsmittel (27) im Validiergerat (21) zum Einschreiben des 

1 0 Kodes (11 ) in das Kontrollfeld (5) angeordnet ist. 

1 6. System (20) nach einem der Anspriiche 9 bis 15, dadurch gekennzeichnet, dass die 
Recheneinheit (24) im Validiergerat (21) derart ausgebildet ist, dass bei der Verschlusselung der 
Kontrollnummer (9) eine iiber eine Tastatur (28) eingegebene personlichen Identifikationsnummer 
Nummer der berechtigten Person als Parameter fur die Erzeugung der Kontrollnummer (9) einbezogen 

1 5 ist und dass der Verifikator (22) das Erlaubnissignal nur dann im Rechengerat (33) erzeugt, wenn bei 
der Echtheitspriifung die personlichen Identifikationsnummer Nummer iiber die Tastatur (28) des 
Verifikators (22) dem Rechengerat (33) als Parameter der kryptographischen Operation einbezogen ist. 

17. System (20) nach einem der Anspriiche 9 bis 16, dadurch gekennzeichnet, dass wenigstens ein 
Validiergerat (21) und wenigstens ein Verifikator (22) iiber ein Netzwerk (28', 38, 40; 37) mit einem 

20 zentralen Rechner (39) zum bidirektionalen Datenaustausch verbunden sind. 

1 8. System (20) nach einem der Anspriiche 9 bis 1 7, dadurch gekennzeichnet, dass das wenigstens 
ein Verifikator (22) iiber eine Signalleitung (35) mit einer Dienstleistungseinrichtung (36) verbunden ist 
und dass die Dienstleistungseinrichtung (36) zum Freigeben einer Dienstleistung mittels des iiber die 
Signalleitung (35) an die Dienstleistungseinrichtung (36) gesandten Erlaubnissignals eingerichtet ist. 
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ZUSAMMENFASSUNG 

Ein Dokument (1) weist auf dem Substrat (6) wenigstens eine Dokumentennummer (2), eine optische 
Markierung (3) mit einer maschineli lesbaren Kennung (7) und ein Speicherfeld (4) fur die Aufhahme 
einer Kontrollnummer (9) auf. Die Kontrollnummer (9) wird erst im Moment der Abgabe an eine 
5 berechtigte Person mittels einer kryptographischen Operation aus wenigstens der Dokumentennummer 
(2), der Kennung (7) und einem ersten geheimen Schlussel (10) erzeugt und in das Speicherfeld (4) 
eingeschrieben. Ein derart erzeugtes Echtheitszertifikat ist mit einem Verifikator unter Verwendung 
einer kryptographischen Operation und der auf dem Dokument (1) gespeicherten Information mittels 
eines zweiten Schlussels auf seine Echtheit uberprufbar. 

10 (Fig. 2) 
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